Datenschutz Mitarbeiterdaten

Aufbewahrungspflichten, Löschfristen und die digitale Aufbewahrung

Sobald Mitarbeiter im Spiel sind, ist es nach den aktuellen gesetzlichen Vorgaben in Deutschland notwendig, bestimmte Personalunterlagen aufzubewahren. Je nach Grundlage ist dabei das Dokument im Original, als Kopie oder digital aufzubewahren. In der Regel führen Arbeitnehmer daher eine entsprechende Personalakte. Dabei muss man wissen, dass es keine gesetzlichen Bestimmungen zu Form und Inhalt der Personalakte gibt, ausgenommen hierbei sind Beamte o.ä.

Trotzdem ergeben sich aus den notwendigen Unterlagen auch Vorgaben für die Aufbewahrung. Vor allem im Datenschutz muss dabei einiges nach DS-GVO (Datenschutzgrundverordnung) und BDSG (Bundesdatenschutzgesetz) beachtet werden.  Das Team von Datenschutzberater.NRW möchte Ihnen in diesem Datenschutzblog erste Grundlagen an die Hand geben, mit denen Sie bereits notwendige Schritte prüfen können.

Verschiedene Möglichkeiten die Personalakte zu führen

Grundsätzlich kann man drei mögliche Arten von Personalakten unterscheiden.

Die klassische Handakte: Sie erfasst alle Daten in Papierform und wird entsprechend, meist in der Personalabteilung, für andere unzugänglich aufbewahrt. Hier finden sich auch notwendige Originale, die nicht als elektronische Kopie abgelegt werden können.

Die elektronische Personalakte: Sie umfasst digitale Dokumente, z.B. eingescannte Unterlagen, die bisher in einer Handakte geführt  wurden, aber als elektronische Kopie ausreichen. Durch den stetigen Wandel der digitalen Welt, gibt es mittlerweile immer mehr Dokumente, die auch in digitaler Form signiert oder als elektronisches Original vorliegen. Bisher ist eine ausschließlich digitale Personalakte aber noch nicht möglich, da es noch zu viele Unterlagen gibt, die als Original in Papierform aufbewahrt werden müssen.

Eine logische Konsequenz aus der Notwendigkeit der unterschiedlichen Aufbewahrungen, ist dann die sogenannte Hybridakte: Sie verbindet die Papier- oder Handakte mit der elektronischen Akte. Hier werden sowohl Unterlagen in Papierform, als auch Unterlagen in digitaler Form geführt. Dabei sollte vermieden werden, dass Unterlagen sowohl in Papierform, als auch elektronisch vorliegen. Meist schafft eine Tabelle dabei die nötige Übersicht.

Egal für welche Art von Personalakte man sich entscheidet (dazu gehören auch mögliche Nebenakten), für die Aufbewahrung der darin enthaltenen personenbezogenen Daten gelten die Regeln des Datenschutzes.

Was sind personenbezogene Daten? Hier kommen Sie zu unserem Blogartikel zum Thema.  

Sicherheit für die Unterlagen

Im Datenschutz geht es unter anderem darum, den sogenannten Betroffenen, also jene Person, dessen personenbezogene Daten verarbeitet werden, vor einem möglichen Schaden zu bewahren. Dazu gehört, dass kein Unbefugter Zugriff auf die Daten erhält.

Um sicherzugehen, dass die Unterlagen, die in der Personalakte aufbewahrt werden, nicht durch Unbefugte einsehbar sind, müssen entsprechende technische und organisatorische Maßnahmen (TOM) eingeführt werden.

Bei der Handakte sollten die Räume für die Aufbewahrung, mindestens aber die Schränke, in denen die Unterlagen aufbewahrt werden, abschließbar sein. Sofern die Unterlagen nicht unter Aufsicht eines Befugten stehen, sind diese auch abzuschließen.

Die Unterlagen, die elektronisch geführt werden, müssen natürlich mit den entsprechenden Zugriffsrechten eingeschränkt werden. Die IT-Sicherheit muss gewährleistet sein, um Zugriffe von außen zu vermeiden. Computerbildschirme müssen entsprechend beim Verlassen des Raumes gesperrt und für andere nicht einsehbar sein.

Die Mitarbeiter, welche befugt sind, auf die Unterlagen zuzugreifen, sollten entsprechende Schulungen und Zugriffsrechte erhalten, welche sicherstellen, dass ein verantwortungsvoller Umgang mit den Unterlagen und deren Inhalten gewährleistet ist. Dazu gehört auch, dass Unterlagen nicht einsehbar herumliegen, Bildschirme nicht einsehbar sind und über die Inhalte der Akten nicht mit unbefugten gesprochen werden darf.

ACHTUNG: Besondere Arten von personenbezogenen Daten

Besonders heikel sind die Aufbewahrung oder Verarbeitung von den sogenannten besonderen Arten von personenbezogenen Daten. Dazu gehören unter anderem:

  • Gesundheitsdaten (Krankmeldung, Angaben zu Schwerbehindertenausweis usw.)
  • Gewerkschaftszugehörigkeit
  • Religiöse oder philosophische Überzeugung
  • Politische Meinung
  • Biometrische Daten
  • Rassische oder ethnische Herkunft
  • Genom Daten
  • Sexualleben

In diesen Fällen muss besonders geprüft werden, ob es notwendig ist diese Daten überhaupt aufzunehmen (z.B., wenn sie im Lebenslauf erwähnt werden oder für Abrechnungen mit Krankenkassen oder Sozialleistungsträgern notwendig sind). Wenn diese Daten aufbewahrt werden müssen, sollte darüber hinaus geprüft werden, ob sie in einer gesonderten Akte geführt werden, um den Zugriff der notwendigen Zuständigen weiter zu beschränken. In jeden Fall führen diese Daten zu einer gesonderten Risikobewertung und möglicherweise zu einer Datenschutzfolgenabschätzung, die Sicherheit muss in jedem Fall entsprechend erhöht werden.

Aufbewahrungspflicht vs. Löschfristen

Für die personenbezogenen Daten von Betroffenen in der Personalakte gelten die gleichen Regeln, wie für alle anderen personenbezogenen Daten. Daher dürfen diese Daten beispielsweise nur verarbeitet werden (dazu gehören auch die Aufbewahrung oder die Vernichtung der Daten), wenn eine gesetzliche Grundlage besteht oder der Betroffene seine Einwilligung erteilt hat. Diese Verarbeitung ist dann auch Zweckgebunden. Im Fall der Personalakte wird diese Verarbeitung nur für den Zweck der Aufnahme, Beendigung und Durchführung eines Beschäftigungsverhältnisses erlaubt. Nach Ablauf des Zweckes sind die Daten zu löschen.

Aber Achtung: Der Datenschutz besagt zwar, dass personenbezogene Daten nur so lange aufbewahrt werden dürfen, wie sie für den Zweck benötigt werden, gibt aber meist keine expliziten Löschfristen vor. Das liegt daran, dass Unterlagen oft auf gesetzlicher Basis einer sogenannten Aufbewahrungspflicht unterliegen. Das bedeutet die Löschfrist des Datenschutzes orientiert sich somit an der gesetzlichen Aufbewahrungspflicht. Liegt keine Aufbewahrungspflicht vor, so müssen die Daten nach Abschluss des Vorgangs, also den Wegfall des Zwecks auch vernichtet und gelöscht werden.

Betroffenenrechte der Arbeitnehmer

Von jedem Arbeitnehmer werden in der Regel personenbezogene Daten verarbeitet. Daher gilt jeder Arbeitnehmer als Betroffener im Datenschutz, es gelten für Ihn auch die gleichen Rechte – die sogenannten Betroffenenrechte, u.a.:

  • Informationspflicht bei der Datenerhebung
  • Auskunftsrecht inkl. Kopie der Daten
  • Berichtigung oder Löschung von falschen Daten
  • Einschränkung der Datenverarbeitung, sollte eine Löschung aufgrund anderer gesetzlicher Vorgaben nicht möglich sein
  • Widerspruch, Widerruf der Datenverarbeitung

Dabei sollte der Verantwortliche auch immer die nötige und mögliche Transparenz für Arbeitnehmer bei der Verarbeitung der personenbezogenen Datensicher stellen.

Für alle Datenverarbeitungen gilt auch, dass so wenige Daten wie möglich und nur so viele wie für den Zweck notwendig erhoben werden (Datenminimierung).

AVV-Verträge

Werden die Daten durch einen Dritten verarbeitet (z.B. erfasst, vernichtet, gelöscht), muss in jedem Fall ein sogenannter AVV-Vertrag geschlossen werden. In diesem Fall liegt höchstwahrscheinlich eine Auftragsverarbeitung vor, die personenbezogenen Daten werden also im Auftrag verarbeitet. Der Vertrag für Auftragsverarbeitung (AVV-Vertrag) stellt sicher, dass die personenbezogenen Daten nach den Vorgaben des Datenschutzes und im Sinne des Verantwortlichen verarbeitet werden.  Was sind AVV-Veträge? Lesen Sie dazu unseren Blog.

Weitere Besonderheiten

Bewerbungsunterlagen gehören, soweit kein Arbeitsverhältnis zu Stande kommt, übrigens nicht in die Unterlagen, die aufbewahrt werden. Sollten Sie die Unterlagen bei einer späteren Ausschreibung berücksichtigen wollen, sollten Sie in jedem Fall das Einverständnis vom Betroffenen einholen.

Besonders die Personalakte und die notwendigen technischen und organisatorischen Maßnahmen stellen ein komplexes Thema im Datenschutz dar. Durch die Vermischung von digitaler und analoger Aufbewahrung und die unterschiedlichen Möglichkeiten der Verarbeitung auch durch beteiligte und befugte Dritte, ist es dabei oft schwer den Überblick zu behalten.

Ein (externer) Datenschutzbeauftragter sollte zur Beurteilung der unterschiedlichen Szenarien immer zu Rate gezogen werden. Eine regelmäßige Überprüfung durch einen Fachmann im Datenschutz ist zusätzlich ratsam. Auch bei der Umstellung von Hand- zu Hybridakte, sollte der Datenschutzbeauftragte hinzugezogen werden.

Das Team von Datenschutzberater.NRW kann Ihnen im Umgang mit dem komplexen Thema Datenschutz im Personalbereich beratend und kompetent zur Verfügung stehen. Unsere Fachleute aus Datenschutz, IT und Steuerrecht betreuen Unternehmen, Vereine, Schulen, Praxen, Kanzleien und weitere aus verschiedenen Bereichen.

Sie benötigen ein individuelles Angebot für den Bereich Datenschutz (Datenschutz-Erstberatung, Datenschutz-Audit, projektbezogenen Datenschutz), IT (IT-Audit), GoBD-Beratung oder weitere Betreuung im Datenschutz (z.B. DS-GVO-konforme Homepage) für den Raum Köln, Düsseldorf, Bonn, Siegen, Gummersbach, Siegburg, Düsseldorf usw.? Dann setzen Sie sich gerne mit uns in Verbindung, wir erstellen Ihnen ein individuelles und umsetzbares Angebot.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.

Personalakte und Datenschutz – worauf Arbeitgeber in NRW achten sollten